Stagefright

Android-Sicherheitslücke lässt sich nicht nur über MMS ausnutzen

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Die Android-Sicherheitslücke „Stagefright“ lässt sich laut Trend Micro nicht nur über MMS, sondern auch über speziell präparierte Websites und Apps ausnutzen. Dank des Wissens um die Lücke drohten darauf zugeschnittene Exploits schnell ein Eigenleben zu entwickeln, das sich nur noch schwer eindämmen lässt, warnt die IT-Sicherheitsfirma.

Wie bereits berichtet, sind von der Sicherheitslücke in der Mediensoftware "Stagefright" die Android-Versionen 4.0.1 bis 5.1.1 betroffen, mit denen über 94 Prozent aller Android-Geräte, also fast eine Milliarde Smartphones ausgestattet sind. Ein Sicherheits-Patch liegt zwar vor, jedoch sind die Anwender von den Herstellern ihrer Android-Geräte bei der Frage abhängig, wann ihnen das Sicherheits-Update zur Verfügung gestellt wird.

Angriffe auch über Apps und Websites möglich

Die von Zimperium entdeckte Sicherheitslücke Stagefright bedroht fast eine Milliarde Android-Geräte.
Die von Zimperium entdeckte Sicherheitslücke Stagefright bedroht fast eine Milliarde Android-Geräte.
Foto: Zimperium

Doch damit nicht genug: Mögliche Angreifer, die Exploits für "Stagefright" entwickeln, können dafür nicht nur speziell präparierte MMS verwenden, sondern auch Websites und Apps. Die Forscher von Trend Micro haben entsprechende Proof-of-Concepts erstellt und ihre Erkenntnisse Google gegenüber bereits am 19. Mai mitgeteilt. Dazu haben sie eine spezielle MP4-Datei gebaut und diese sowohl in eine App als auch eine HTML-Datei eingebettet.

Auch in diesen Szenarien können Angreifer im schlimmsten Fall die Kontrolle über das infizierte Android-Gerät übernehmen. Die Nutzer müssen dafür nur eine entsprechend präparierte App - zum Beispiel aus dem Android-Store eines Drittanbieters - installieren oder eine bösartige Webseite aufrufen - zum Beispiel über einen Link in einer gefälschten E-Mail.

"Man darf Sicherheitslücken niemals isoliert betrachten, also nur in dem Zusammenhang, in dem sie ursprünglich entdeckt wurden", warnt Sicherheitsexperte Udo Schneider von Trend Micro. Exploits neigten aufgrund von Abhängigkeiten dazu, ein Eigenleben zu entwickeln. Dies allein sei schon schlimm genug, wenn sie von Hackern und Cyberkriminellen entdeckt würden. Noch schlimmer werde es allerdings, wenn staatliche Stellen dieses Wissen einkaufen und nicht an die Softwarehersteller weitergeben, damit diese die Lücken im Code schließen können, so Udo Schneider weiter.

Weitere Informationen zu der beschriebenen Sicherheitslücke sowie zum erwähnten Proof-of-Concept sind im deutschen Trend Micro-Blog erhältlich.